（计算机应用技术专业论文）rbf神经网络在入侵检测中的应用研究.pdf

r b f 神经网络在入侵检测中的应用研究 摘要 随着计算机和网络技术的不断发展，计算机网络的安全问题也日益突出。 目前网络安全技术包括路由器、防火墙、漏洞防堵、入侵检测、审计和反攻击 等，其中路由器过滤、防火墙、漏洞防堵属于静态安全技术，而入侵检测、审 计和反攻击等属于动态防护。静态安全技术对防止系统被非法入侵起到了一定 作用，但在真正的网络攻击行为发生时，尤其是在遭受新型的网络攻击方法攻 击时，系统可能会遭受到不可预料的损失。因此需要研究一些积极主动的网络 安全防御手段和反击手段。入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是一 种动态的安全技术，它已成为网络安全必不可少的重要手段。目前大多数入侵 检测系统检测率较低，为克服现有i d s 的不足，本文从r b f 神经网络应用于入 侵检测方面进行了研究。 本文首先介绍了传统i d s 系统结构和检测方法，分析了入侵检测技术面临 的挑战及其发展趋势。对神经网络技术在i d s 中应用的相关问题进行了探讨， 深入研究了r b f n n ，分析了r b f n n 在i d s 中应用的优点及存在的问题。在此 基础上，针对训练中广泛应用的o l s 中存在大数据量训练时间过长、不能根据 数据特性确定平滑参数的缺点，本文采用了基于快速模糊c 均值算法和o l s 算法相结合的快速训练算法。该算法减少了参与o l s 训练算法的样本数，解决 了o l s 方法不能确定中心节点的平滑参数的问题。 最后本文用m a t l a b 7 0 t 具，选用目前入侵检测领域较通用的测试数据 k d d 9 9 c u pd a t as e t 对此算法进行了仿真实验。仿真试验结果表明此快速算法 降低了网络的训练时间、减小网络规模、提高分类性能，从而提高了入侵检测 率。 关键词：入侵检测r b f 神经网络快速模糊c 均值算法o l s 正交最小二乘法 a p p l i c a t i o na n dr e s e a r c ho fr b f n e u r a ln e t w o r k i ni n t r u s i o n d e t e c t i o n a bs t r a c t w i t ht h ef a s td e v e l o p m e n to ft h ei n t e r n e t ，t h ep r o b l e ma b o u tc o m p u t e r n e t w o r ks e c u r i t yb e c o m e sm o r ea n dm o r eo u t s t a n d i n g n e t w o r ks e c u r i t yt e c h n i q u e s i n c l u d er o u t e rf i l t e r , f i r e w a l l s ，i n t r u s i o nd e t e c t i o n ，a u d i t ，c o u n t e r o f f e n s i v ea n de t c i nt h e s et e c h n i q u e s ，r o u t e rf i l t e ra n df i r e w a l l sa r es t a t i cs e c u r i t yt e c h n i q u e s ，a n d o t h e r sa r ed y n a m i cs e c u r i t y t e c h n i q u e s s t a t i cs e c u r i t yt e c h n i q u e s w o r ko n p r e v e n t i n gi n v a l i da c c e s so fs y s t e m ，b u tt h e yp r o b a b l yb r i n gu n k n o w nl o s sw h e n g e n u i n en e t w o r ka t t a c k so c c u r ，e s p e c i a l l yn o v e ln e t w o r ka t t a c k s t h e r e f o r e ，s o m e a c t i v en e t w o r ks e c u r i t yd e f e n s em e t h o d sa n dc o u n t e r a t t a c km e t h o d sn e e dt ob e r e s e a r c h e d i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) i sad y n a m i cs e c u r i t yt e c h n i q u e ，a n d i th a sb e c o m eac r u c i a lm e t h o di nn e t w o r ks e c u r i t y p r e s e n t l y , t h ef a l s ea l a r mr a t e o fm o s ti d si sh i g ha n dt h e i re f f i c i e n c yi sl o w a i m e da tt h e s ed r a w b a c k so f p r e s e n ti d s ，r e s e a r c h e s o ni d sm o d e l sa n dn e u r a ln e t w o r k - b a s e di n t r u s i o n d e t e c t i o na r ep r e s e n t e di nt h i st h e s i s f i r s t l y , t h i st h e s i si n t r o d u c e st h et r a d i t i o n a li d ss t r u c t u r ea n dt h ed e t e c t i o n m e t h o da n da n a l y z e st h ec h a l l e n g ea n dt h et r e n do fd e v e l o p m e n tt h a ti n t r u s i o n d e t e c t i o nt e c h n o l o g yf a c e d d i s c u s st h ea p p l i c a t i o no fn ni ni n t r u s i o nd e t e c t i o n s y s t e m ，d e e pr e s e a r c hr b f n na n da n a l y z et h em e r i ta n de x i s t e dq u e s t i o n so ft h e a p p l i c a t i o no fr b f n n i ni d s t h i st h e s i su s e sa c c e l e r a t e dt r a i n i n ga l g o r i t h mb a s e d o na l t e r n a t i v ef u z z yc - m e a n sa n do r t h o g o n a ll e a s ts q u a r e s ( o l s ) f o rt h a to l s w i d e l yu s e di nt r a i n i n gh a sl o n gt i m et r a i n i n ga n dc a n td e t e r m i n et h es p r e a d so f c e n t e rn o d e sa c c o r d i n gt ot h ec h a r a c t e r so fd a t a t h i sa l g o r i t h mr e d u c e st h en u m b e r o fs a m p l et h a tp a r t i c i p a t e si no l st r a i n i n ga n ds o l v e st h ep r o b l e mt h a to l s a l g o r i t h mc a n td e t e r m i n et h es p r e a d so fc e n t e rn o d e s f i n a l l y , t h i st h e s i sc a r r i e so ns i m u l a t i v ee x p e r i m e n tb yu s i n gm a t l a b 7 0t o o l a n ds e l e c t i n gg e n e r a lt e s td a t ak d d 9 9 一c u pd a t as e ti ni n t r u s i o nd e t e c t i o nd o m a i n t h er e s u l to ft h i ss i m u l a t i v ee x p e r i m e n ti n d i c a t e st h a t t h i sa c c e l e r a t e dt r a i n i n g a l g o r i t h mr e d u c e st h et r a i n i n gt i m ea n dt h es i z eo fn e t w o r ka n de n h a n c e st h e n e t w o r kp e r f o r m a n c eo fc l a s s i f i c a t i o n ，t h u st h i st r a i n i n ga l g o r i t h me n h a n c e st h e i n t r u s i o nd e t e c t i o nr a t e k e y w o r d s ：i n t r u s i o nd e t e c t i o n ；r b fn e u r a ln e t w o r k ；a l t e r n a t i v ef u z z ye - m e a n s ； ( o l s ) o r t h o g o n a ll e a s ts q u a r e s i i 图2 一 图2 一 图3 一 图3 一 图3 一 图4 一 图4 一 图5 一 插图清单 ld e n n i n g 模型7 2c i d f 入侵检测框架模型8 1 人工神经网络模型1 3 2 前馈型网络1 3 3 反馈型网络1 4 1r b f 神经网络模型2 0 2 高斯函数2 l 1 优化r b f n 的检测结果3 3 2 表格清单 表5 1t c p i p 连接纪录2 7 表5 2 实验数据集2 9 表5 3 实验数据集中的入侵类型2 9 表5 4 数据结构表3 0 表5 5s e r v i c e 编码3 0 表5 6 优化r b f n 各种攻击类型分类检测结果3 2 表5 7 实验结果对比分析3 3 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所 知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获得金胆王些太堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位做作者婷面t 晚艳签字醐加呷年7 朋日 学位论文版权使用授权书 本学位论文作者完全了解合肥工业大学有关保留、使用学位论文的规定，有权保留并向 国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人授权合肥工业大 学可以将学位论文的全部或部分论文内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名：匆、蛐 签字醐：1 年了月姗 f 学位论文作者毕业后去向： 工作单位： 通讯地址： 三篡圾要旦日 致谢 在此论文完成之际，谨向我的导师郑淑丽副教授表示最真挚的谢意! 本论 文的工作是在郑老师的直接指导下完成的。郑老师严谨求实的科研态度以及宽 以待人的品质，为我指明了研究方向，培养了我的研究能力，使得我的论文能 够顺利完成，在此表示衷心的感谢。 感谢我的同学沈洪伟及实验室的同学们，大家一起对在网络安全课题进行 研究探讨，他们的思想对于我的课题研究具有很大的启发和帮助。 感谢我的家人在我的求学道路上始终支持我，理解我，是他们的关心与帮 助使我得以顺利完成学业。 最后，感谢所有曾经鼓励或帮助过我的同学及朋友。 作者：孙晓艳 2 0 0 9 年3 月 1 1研究背景和意义 第一章绪论 随着因特网应用的日益普及，信息技术迅猛发展，信息共享的程度不断提 高，人们己经进入了信息时代，i n t e r n e t 进入到千家万户，给人类社会、经济、 文化等带来了无限的机遇，但也给信息安全带来了严峻挑战，各种不安全因素 的大量涌入致使计算机网络安全问题日益突出。 根据美国联邦调查局的调查，美国每年因为网络安全造成的经济损失超过 了17 0 亿美元：7 5 的公司报告财政损失是由于计算机系统的安全问题造成的： 平均每个组织损失4 0 万美元；超过7 0 的安全威胁都来自内部。从这些数字 可以看出，网络安全给系统带来的损失是不可估量的。因此很多组织致力于提 出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途 径就是入侵检测。入侵检测系统可以弥补防火墙的不足，为网络安全提供实时 的入侵检测及采取相应的防护手段，例如记录证据、跟踪入侵、恢复或断开网 络连接等。 从2 0 世纪9 0 年代到现在，入侵检测系统的研究呈现出百家争鸣的繁荣局 面，并且在智能化和分布式两个方向取得了长足的进展。尽管对网络入侵检测 系统的研究已经取得了很多成果，但还存在一些难以克服的问题如：如何识别 大规模的组合、分布式的入侵攻击目前还没有比较好的和成熟的解决方案；难 以检测出具有欺骗性的入侵；没有一种简单的方法能够对入侵检测系统进行测 试，未知的入侵模式难以模拟，已知的入侵模式难以重现，审计记录格式的不 规范也给入侵检测的实验与比较造成诸多不便。 针对这些问题，我们把神经网络技术引用到入侵检测系统中来，利用神经 网络的自学习、联想记忆和模糊运算的能力，尝试克服入侵检测技术存在的不 足之处。 因此，对基于人工神经网络的入侵检测技术的研究有着重要的理论意义和 工程应用价值。其重要意义体现在以下几方面： ( 1 ) 利用人工神经网络对外界输入样本的识别、分类能力和联想记忆功能 来进行攻击识别，是入侵检测的一个重要的研究方向； ( 2 ) 计算机技术的高速发展，为人工神经网络算法的工程实现提供了应用 前景，研究更适合入侵检测的改进型人工神经网络算法将推进该应用的发展； ( 3 ) 基于人工神经网络的入侵检测系统可以实时监测网络及主机状态，为防 范不可预知性入侵提供了可靠保证。 1 2 论文研究的内容和组织结构 本文主要研究r b f 神经网络在入侵检测中的应用。径向基函数( r b f ：r a d i a l b a s i cf u n e t i o n ) 神经网络因其很强的非线性逼近能力，以及具有结构简单、学习 速度快、不存在局部极小等优点，使其在入侵检测中得到了广泛的应用。在r b f 神经网络中，隐含层基函数的中心和宽度直接影响着网络的逼近能力，而且要 求r b f 中心应能覆盖整个输人空间，所以如果r b f 中心的数量过多，将会使 网络的计算量显著增加，而且会导致网络的泛化能力降低。因此本文把研究重 点放在如何有效地确定中心节点和宽度方面，对此，本文提出了基于快速模糊 c 一均值算法( a f c m ：a l t e r n a t i v ef u z z yc m e a n s ) 和o l s 算法相结合的快速训 练算法。论文介绍了快速模糊c 一均值算法( a f c m ：a l t e r n a t i v ef u z z yc m e a n s ) 和o l s 算法以及两种算法是如何结合在一起的，并给出了实验步骤和实验的分 析结果。 本文共分五章，具体章节内容安排如下： 第一章绪论，介绍了论文的研究背景和主要研究内容。 第二章介绍了入侵检测技术的相关概念以及研究近况。 第三章介绍神经网络在入侵检测中的应用情况，针对神经网络在i d s 中应 用的相关问题进行了研究 第四章介绍了现有的r b f 神经网络在入侵检测的应用，分析了其在入侵检 测中应用的优点及其存在的问题。 第五章在第四章的基础上，采用了一种优化的r b f 神经网络算法，该算法 减少了参与o l s 训练算法的样本数，解决了o l s 方法不能确定中心节点的平 滑参数的问题。并通过仿真实验验证了此算法具有很高的性能和效率。 第六章给出了论文结论和对进一步工作的展望。 2 第二章入侵检测技术 入侵检测系统是利用强大的主动策略和方案来增强网络系统的安全性，为 网络系统安全提供实时的入侵检测以及采取相应的防护手段，如记录证据、跟 踪入侵、恢复或断开网络连接等。入侵检测是一种重要的安全防御技术，它不 仅可以通过监测网络实现对内部攻击、外部攻击和误操作的实时控制，有效的 弥补防火墙的不足，而且还能结合其它网络安全产品，对网络进行全方位的保 护，具有主动性和实时性的特点，是防火墙重要的和有益的补充。因此引发了 人们对入侵检测技术研究和开发的热情，近年来，入侵检测系统更是得到了充 分的重视，不断有新技术引入。 2 1 入侵检测的概念 入侵的定义应与受害目标相关联，该受害目标可以是一个大的系统或单个 对象。判断与目标相关的操作是判别入侵的依据：对目标的操作超出目标的安 全策略范围。因此入侵是指违背访问目标安全策略的行为。入侵检测是检测和 识别针对计算机系统、网络系统、信息系统的非法攻击或违反安全策略事件的 过程，它通过收集计算机操作系统、系统程序、应用程序、网络数据包等信息 数据，分析数据，从而发现系统中违背安全策略或危及系统安全的行为。进行 入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测系统主要通过以下 几种活动来完成任务i l 】： ( 1 ) 监测并分析用户和系统的活动； ( 2 ) 核查系统配置和漏洞； ( 3 ) 识别已知的攻击行为； ( 4 ) 评估系统关键资源和数据文件的完整性； ( 5 ) 分析预测异常行为。 除此之外，入侵检测需要操作系统日志管理，识别违反安全策略的用户活 动，并对异常结果做出反应。有的入侵检测系统还能够自动安装厂商的安全补 丁软件，并自动记录有关入侵者的信息，在必要的情况下还要与其它安全系统 进行联动。 2 2入侵检测技术分类 从入侵检测技术提出到现在，出现了很多入侵检测系统。根据不同的分类 标准，这些入侵检测系统可以分为不同的类别。其分类主要的考虑因素和依据 有：信息源、入侵目标、事件生成、事件处理、检测方法等等。下面就简要介 绍几种常用的分类方法。 2 2 1根据数据分析手段分类 数据分析分类方法是传统的分类方法。根据对所获取到数据的分析手段可 以将入侵检测系统分为误用入侵检测系统( m i s u s ei d s ) 和异常入侵检测系统 ( a n o m a l yi d s ) 。 误用检测误用检测技术是假设所有入侵行为和手段( 及其变种) 都能够表 达为一种模式或特征，所有己知的入侵方法都可以用匹配的方法发现。误用检 测技术的关键是如何表达入侵的模式，以正确区分真正的入侵与正常行为。模 式发现的优点是检测准确率高，其局限性是只能发现己知的攻击，对未知攻击 无能为力。当前流行的系统基本采用了这种模型。 基于误用的入侵检测技术主要是从2 0 世纪0 9 年代中期开始的，当时主要 的研究组织有s r i ，p u r d u e 大学和c a l i f o r n i a 大学的d a v i s 分校。最初的误用检 测系统忽略了系统的初始状态，只对系统运行中各种变化的事件进行匹配，并 从中标识出相应的攻击行为。这种不考虑初始状态的入侵信号标识法有时无法 发现所有的入侵行为，所以现在多数误用检测系统已经考虑了系统的初始状态。 基于误用的入侵检测系统通过使用某种模式或者信号标识表示攻击，迸而发现 相同的攻击。这种方式可以检测许多甚至全部己知的攻击行为。 误用信号标识需要对入侵的特征、环境、次序以及完成入侵的事件相互间 的关系进行详细的描述，这样误用信号标识不仅可以检测出入侵行为，而且可 以发现入侵的企图，误用信号局部上的符合就可以代表一个入侵的企图。对于 误用检测系统来说，最重要的技术问题有： ( 1 ) 如何全面描述攻击的特征，覆盖在此基础上的变种方法； ( 2 ) 如何排除其他带有干扰性质的行为，减少误报率； ( 3 ) 基于模式匹配的方式降低了检测速度，如何加快模式匹配速度以适应 高速检测需要。 主要的误用检侧系统类型有专家系统、误用预测系统、状态转换分析系统 和模式匹配系统。 异常检测异常检测技术是假定所有入侵行为都与正常行为不同。它的原 理是假设可以建立起系统正常行为的模型，所有与正常模型不同的系统状态都 被视为可疑企图，异常阈值与特征的选择是其成败的关键。通过与正常模型的 对比就能够检测出非法的入侵行为甚至是通过未知攻击方法进行的入侵行为， 此外不属于入侵的异常用户行为也能检测到。这种检测技术的局限性在于，并 非所有的异常都表现为入侵行为，而且系统的模型难于计算和更新。 基于异常的入侵检测系统是“学习正常发现异常 ，它的特点主要表现在学 习过程中，可以在检测系统中大量借鉴其他领域的方法来完成用户行为概貌的 学习和异常的检测，常用方法有统计学方法、人工免疫方法、基于神经网络的 方法、基于数据挖掘技术的方法以及使用状态机的方法。 4 2 0 年以前a n d e r s o n 就提出了基于异常的入侵检测的思想，随后很多机构 也进行了相关的研究，理论上这种方法具有一定入侵检测的能力，并且相对而 言与基于误用的入侵相比它有一个非常强的优势，就是它能够检测出未知的攻 击。但在现实情况中，该理论本身也存在一定的缺陷。 异常检测系统试图发现一些未知的入侵行为；而误用检测系统则标识一些 已知的入侵行为。异常检测根据使用者的行为或资源使用状况来判断是否入侵， 而不依赖于具体行为是否出现来检测；而误用检测系统则大多是通过对一些具 体的行为的判断和推理，从而检测出入侵。 异常检测的主要缺陷在于误检率很高，尤其用户数目众多或工作行为经常 改变的环境中；而误用检测由于依据具体特征库进行判断，准确度要高很多。 此外，异常检测对具体系统的依赖相对较小；而误用检测对具体的系统依赖性 太强，可移植性不好。 2 2 2根据原始数据来源分类 基干主机的入侵检测系统基于主机的入侵检测系统【2 】的检测目标主要是 本地主机系统和网络系统中的本地用户、监视系统事件、安全记录及系统日志， 以发现可疑事件【3 】。其主要目的在于保护关键应用的服务器。 就目前的情况来看，d n s ( d o m a i nn a m es e r v i c e ) 、e m a i l 和w e b 服务器是 多数网络攻击的目标，大约占据全部网络攻击事件的1 3 以上。这些服务器必 须要与i n t e r n e t 系统相互作用，交换数据，所以应当在各服务器上安装基于主 机的入侵检测系统软件，其检测结果也应及时地向管理员报告。基于主机的入 侵检测系统没有带宽的限制，它们密切监视系统日志，能够识别运行代理的机 器上受到的攻击。基于主机的入侵检测系统提供了基于网络的入侵检测系统不 能提供的精细功能，包括二进制完整性检查、系统日志分析和非法进程关闭等 功能。 基于主机的入侵检测系统主要有如下优点： ( 1 ) 性能价格比高； ( 2 ) 更加细腻，这种方法可以很容易地监测到一些活动，如对敏感文件、 目录或端口的存取，而这些活动很难在基于网络的系统中被发现； ( 3 ) 视野集中，一旦入侵者得到了一个主机的用户名和口令，基于主机的 代理是最有可能区分正常的活动和非法的活动的； ( 4 ) 较少的硬件投入，基于主机的方法可不需要增加专门的硬件平台； ( 5 ) 对网络流量不敏感； ( 6 ) 适用于加密和交换的环境。 基于主机的入侵检测系统最大的好处就在于能根据受保护站点的实际情况 进行针对性的定制，使其工作非常有效，误警率相当低。 基于网络的入侵检测系统基于网络的入侵检测系统通过在共享网段上对 通信数据的侦听采集数据，使用原始网络包作为数据源，分析可疑现象，这类 系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用 的保护而无需顾及异构主机的不同架构。它的攻击辨识模块通常采用四种常用 技术来识别攻击标志，如模式、表达式或字节匹配；频率或穿越阈值；低级事 件的相关性；统计学意义上的非常规现象。这些技术已广泛应用于基于网络的 入侵检测系统。 一旦检测到攻击行为，入侵检测系统的响应模块就提供多种选项以通知、 报警并采取相应的反应。基于网络的入侵检测系统具有强制性而且是独立于平 台的，部署它们对网络影响很小或没有影响，只对带宽有较高要求。基于网络 的入侵检测系统依靠对网络数据包和网络故障等的分析来进行检测，往往能对 异常情况做出比较快的响应。基于网络的入侵检测通常采用多个入侵检测系统 检测器配合一个入侵检测系统指示器的分布式结构来协同工作，检测器分布在 网络的各个角落，一旦发现入侵就通知主机指标器作出响应。 基于网络的i d s 有许多基于主机的入侵检测法无法提供的功能。基于网络 的检测有以下优点。 ( 1 ) 检测速度快； ( 2 ) 隐蔽性好； ( 3 ) 视野更宽，基于网络的入侵检测甚至可以在网络的边缘上，即攻击者 还没能接入网络时就被发现并制止； ( 4 ) 较少的监测器； ( 5 ) 攻击者不易转移证据； ( 6 ) 操作系统无关性； ( 7 ) 占用资源少； ( 8 ) 检测利用协议漏洞进行攻击的行为。 混合型入侵检测系统混合型入侵检测系统是指基于主机和基于网络的入 侵检测系统的集成。许多网络安全解决方案都同时采用了基于主机和基于网络 的两种入侵检测系统，因为这两种系统在很大程度上是互补的。实际应用中， 许多客户在使用d s 时都配置了基于网络的入侵检测系统，防火墙之外的检测 器检测来自外部i n t e r n e t 的攻击。d n s 、e m a i l 和w e b 服务器常常是攻击的目 标，但是它们又必须与外部网络进行交互，不可能对其进行全部屏蔽，所以还 应当在各个服务器上安装基于主机的入侵检测系统，其检测结果也要向分析员 报告。该形式结合了两种入侵检测系统的优点，具有更好的安全性。 2 3 通用入侵检测系统模型 d e n n i n g 在19 8 7 年提出了一个基于异常行为检测模型，如图2 - 1 所示。 6 图2 1d e n n i n g 模型 模型基本思想是为用户建立和维护一系列描述用户正常使用系统的行为特 征轮廓，入侵检测系统利用这些特征轮廓来监控当前用户的活动，当一个用户 的当前活动与其特征轮廓的差别超出预定义的边界条件时，这个当前活动行为 就被认为是异常的。例如，登陆口令超过三次失败，则认为是异常的。其方法 用到统计方法和专家系统。d e n n i n g 定义的模型独立于任何特殊的系统、应用 环境、系统脆弱性或入侵种类，因此提供了一个通用的入侵检测专家系统框架， 简称i d e s 模型【4 】。这个模型能够检测出黑客入侵、越权操作以及其它种类的 非正常使用计算机系统的行为，i d e s 模型由主体、客体、审计记录、轮廓、异 常记录和活动规则六部分组成。 ( 1 ) 主体( s u b j e c t ) 主体是在目标系统上活动的实体，通常指用户。 ( 2 ) 对象( o b j e c t ) 对象指资源，由系统文件、设备、命令等占有。 ( 3 ) 审计记录( a u d i tr e c o r d s ) 审计记录是由 构成的六元组。其中活动 ( a c t i o n ) 是主体对对象( o b j e c t s ) 的操作，对操作系统而言，这些操作包括登录、 退出、读、写、执行等：异常条件( e x c e p t i o n c o n d i t i o n ) 是指系统对主体的异常 活动( a c t i o n ) 的报告，如违反系统的读写权限；资源使用情况( r e s o u r c e u s a g e ) 指的是系统的资源消耗情况；时间戳( t i m e s t a m p ) 指活动( a c t i o n ) 发生时间。 ( 4 ) 活动档案( a c t i v ep r o f i l e ) 活动档案是保存系统正常活动行为模型，保 存系统正常活动的相关信息。 ( 5 ) 异常记录( a n o m a l yr e c o r d ) 异常记录是由 组成，表示异常事件的发生情况。 ( 6 ) 活动规则( a c t i v i t yr u l e s ) 活动规则是一组根据异常记录来判断入侵是 7 否发生的规则集合。一般采用系统的正常活动模型为准则，根据专家系统或统 计方法对审计记录进行分析和处理，如果确实发生入侵，将进行相应的处理。 继d e n n i n g 于1 9 7 8 年提出上述的通用的入侵检测模型后，d i e s 和它的后 继版本都是基于d e n n i n g 模型的，早期的入侵检测系统也多采用d e n n i n g 模型 来实现。入侵行为的种类不断增多，涉及的范围不断扩大，而且许多攻击是经 过长时期准备，通过网上协作进行的。面对这种情况，入侵检测系统的不同功 能组件之间、不同i d s 之间共享这类攻击信息是十分重要的。为使各安全设备 之间能有效的进行协作，加州大学d a v i s 分校的安全实验室研究并完成了一种 通用的入侵检测框架模型，简称c i d f t5 】该框架模型的目的主要有下面三个。 ( 1 ) i d s 构件共享即一个i d s 的构件可以被另一个i d s 构件所使用。 ( 2 ) 数据共享即通过提供标准的数据格式，使得i d s 中的各类数据可以在 不同系统之间传递并共享。 ( 3 ) 开发部分构件完善互用性标准并建立起一套开发接口和支持工具，以 提供独立开发部分构件的能力。 c i d f 模型主要是由事件产生器( e v e n tg e n e r a t o r s ) 、事件分析器( e v e n t a n a l y z e r s ) 、响应单元( r e s p o n s eu n i t s ) 、事件数据库( e v e n td a t a b a s e s ) 四部分组 成，如图2 2 所示。 c i d f 将入侵检测系统需要分析的数据统称为事件【6 j ，它可以是网络中截 获的数据包，也可以是从系统日志等其它途径得到的系统信息。事件发生器是 从整个计算系统中获得事件，向系统的其它部分提供处理后的事件。事件分析 器分析所得到的数据，并产生分析后的结果。响应单元将对得到的分析结果做 出反应，如切断网络连接、改变文件属性、简单报警等应急响应。事件数据库 存放各种中间和最终数据。c i d f 模型有很强的扩展性，目前己经得到广泛认 同。 捡测目标 图2 2c i d f 入侵检测框架模型 2 4 入侵检测技术面临的挑战及其发展趋势 2 4 1入侵检测技术面临的挑战 入侵检测系统作为网络安全的关键性防范系统仍然存在很多问题，这有待 于进一步完善，以便为今后的网络发展提供有效的安全手段。 ( 1 ) 适应性如何识别出大规模的组合式、分布式、复合式的入侵攻击。自 动化工具的日趋成熟和多样化，以及攻击手法的越来越复杂和细致，入侵检测 系统必须具有更好的适应性，并不断跟踪最新的安全技术，才能保证不被攻击 者超越。 ( 2 ) 稳定性网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检 测系统往往假设攻击信息是明文传输的，然而通过对信息的改变或重新编码就 可能骗过入侵检测系统的检测，因此字符串匹配【7 ，s 】的方法对于加密过的数据包 就显得无能为力。 ( 3 ) 实时性随着网络带宽的不断增加，如何开发基于高速网络的检测器， 仍然存在很多技术上的困难。用户往往要求i d s 尽快的报警，因此需要对获得 的数据进行实时分析，这导致对所在系统的及时性要求越来越高。 ( 4 ) 一致性对入侵检测系统的评价还没有客观的标准，标准的不统一使得 入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展 和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性 【9 ，1 0 】 o ( 5 ) 易被欺骗性基于网络的i d s 使用一般的网络协议栈对受保护主机的 协议栈行为建模，来评价网络数据包，攻击者可利用这种协议栈的差异，向一 个目标主机发送让i d s 解释困难的数据包，如修改分段、序列号和包的标志位 进行欺骗】。 ( 6 ) 扩展性必须协调、适应多样性环境中的不同安全策略，网络及其设备 越来越多样化，即存在关键资源如邮件服务器、企业数据库，也存在众多相对 不很重要的p c 机，不同企业之间的情况也不尽相同，i d s 要能有所定制以更 适应多样化环境的要求。 2 。4 2 入侵检测技术发展的趋势 入侵检测技术其未来发展趋势主要表现在以下方面。 ( 1 ) 改进对大数据量网络的处理方法随着网络对大数据量处理的要求，入 侵检测的性能要求也在逐步提高，出现了千兆入侵检测等产品。但如果入侵检 测检测产品不仅具备攻击分析，同时具备内容恢复和网络审计的功能，则其存 储系统也很难完全工作在千兆环境下。这种情况下要提高其性能主要需考虑以 下两个方面：首先，i d s 的软件结构和算法需要重新设计，以期适应高速网络 的环境要求，提高软件的运行速度和效率；其次，随着高速网络技术的不断发 9 展与成熟，新的高速网络协议的设计也必将成为未来网络发展的趋势，那么现 有的i d s 如何适应和利用未来的新网络协议必然将是个全新的问题。 ( 2 ) 大规模分布式的检测技术传统集中式i d s 的基本模型是在网络的不 同网段放置多个探测器，收集当前网络状态的信息，然后将这些信息传送到中 央控制台进行处理分析 1 2 j4 1 。这种检测方式存在着明显的缺陷。首先，对于大 规模的分布式攻击，中央控制台的负荷将会超过其处理能力极限，这种情况 会造成大量信息处理的遗漏，导致漏警率的增高：其次，多个探测器收集到的 数据在网络上的传输会在一定程度上增加网络负担，导致网络系统性能的降低； 再者，由于网络传输过程中的时延问题，中央控制台处理的网络数据包中所包 含的信息只反映了探测器接收到它时网络的状态，不能实时反映当前网络状态。 ( 3 ) 智能技术的应用在入侵检测技术的发展过程中，新算法的出现可以有 效提高入侵检测系统的效率。以下三种机器学习算法为当前入侵检测算法的改 进注入新的活力，它们分别是计算机免疫技术、神经网络技术和遗传算法。 计算机免疫技术【1 5 】是直接受到生物免疫机制的启发而提出的。生物系统中 的脆弱性因素都是由免疫系统来妥善处理的，而这种免疫机制在处理外来异体 时呈现了分布的、多样性的、自治的以及自修复的特征，免疫系统通过识别异 常或以前未出现的特征来确定入侵。计算机免疫技术为入侵检测提供了一种思 路，即通过正常行为的学习来识别不符合常态的行为序列。前入在这方面已经 作了若干研究工作，仍有待于进一步深入。 神经网络技术在入侵检测中研究的时间较长，并在不断发展。早期的研究 通过训练向后传播神经网络来识别已知的网络入侵，进一步研究识别未知的网 络入侵行为。今天的神经网络技术已经具备相当强的攻击模式分析能力，它能 够较好地处理带噪声的数据，而且分析速度很快，可以用于实时分析。现在提 出了各种其它神经网络架构诸如自组织特征映射网络等，以期克服后向传播网 络的若千限制性缺陷。 。 遗传算法【1 6 d 9 在入侵检测中的应用时间不长，在一些研究试验中，利用若 干字符串序列来定义用于分析检测的指令组，用以识别正常或者异常行为的这 些指令在初始训练阶段中不断进化，提高分析能力。该算法的应用还有待于进 一步的研究。 ( 4 ) 防火墙联动功能入侵检测一旦发现攻击行为，自动发送给防火墙，防 火墙加载动态规则拦截入侵行为，称为防火墙联动功能【20 ，2 1 1 。目前此功能还没 有到完全实用的阶段，主要是一种概念。随便使用会导致很多问题。目前主要 的应用对象是自动传播的攻击，联动只在这种场合有定的作用。无限制的使 用联动，如未经充分测试，对防火墙的稳定性和网络应用会造成负面影响。但 随着入侵检测产品检测准确度的提高，联动功能日益趋向实用化。 1 0 2 5 本章小结 本章对入侵检测系统做了研究，先对国内外的研究历史和现状做了介绍， 接着从不同角度对i d s 进行分类，同时引入一个通用的入侵检测模型，它是实 现入侵检测系统的重要参考，然后对当今i d s 普遍存在的问题做了分析，最后 探讨了i d s 的发展趋势。 第三章神经网络在入侵检测中的应用 人工神经网络就是为模仿人脑工作方式而设计的一种工程系统，它可以用 电子或光电元件实现，也可以用软件在常规计算机上仿真，或者说人工神经网 络是一种具有大量连接的并行分布处理器，它具有通过学习获取知识并解决问 题的能力，且知识是分布存储在连接权( 对应于生物神经元的突触) 中。对于复 杂的处理对象，比如随机数据的处理，有可能使用某些现成的数学模型，并综 合专家的经验性知识，使用神经网络快速、动态地通过实例学习，获取无法用 显式语言表达的知识。人工神经网络通过实例学习抽取知识，随着大量样本的 不断更新能够适应样本及其使用条件的变化，自动组织和修改高度分布式贮存 于整个神经网络中的知识。 3 1 神经网络的基本概念及其工作原理 3 1 1 神经网络的基本概念 人工神经网络系统是由大量的人工神经元按照一定的拓扑结构，以一定的 连接权值连接而成的人工智能系统。人工神经网络的工作原理建立在人脑的三 个基本功能之上：第一，网络知识分布存在于很多的神经元之中；第二，神经 元都和其最近邻的神经元互连：第三，人脑的自适应能力。人工神经元模拟生 物神经元，它是神经网络的基本处理单元。人工神经元模型应该具有生物神经 元的如下六个基本特性。 ( 1 ) 神经元及其联接； ( 2 ) 神经元之间的联接强度决定信号传递的强弱； ( 3 ) 神经元之间的联接强度是可以随训练改变的； ( 4 ) 信号可以是起刺激作用的，也可以是起抑制作用的： ( 5 ) 一个神经元接受的信号的累积效果决定该神经元的状态； ( 6 ) 每个神经元可以有一个“阈值 。 人工神经元、网络拓扑结构和神经元的连接权值构成了人工神经网络的三 要素。图3 1 显示了一种简化的人工神经元结构。 图3 1 所示的神经元是一个多输入、单输出的非线性元件。其输入值、输 出值关系可以表述为： i t = b x ，一f 9 f ( 3 1 ) y ，= ( 厶)( 3 - 2 ) 式中与( = l ，2 9 e 9 咒) 是从其它神经元传过来的输入信号；表示从神经 元到神经元i 的连接权值，相当于生物神经元的连接强度；q 为神经元1 的阈 值；厂( ) 称为激发函数或作用函数，它决定了神经元的输出。有时为了方便， 1 2 图3 1 人工神经网络模型 把阈值看作是输入值为x 。= i ，权值为0 的输入项。因此，公式( 3 一1 ) 可以写成 式( 3 - 3 ) 。 l i t = w i t x j ( 3 3 ) _ ，= 1 人工神经网络是以工程技术手段来模拟人脑神经元网络的结构与特征的系 统，因此，建立各神经元之间连接的几何拓扑结构，是构建人工神经网络的关 键。目前常用的人工神经网络的拓扑结构有很多种，典型的有前馈型神经网络 和反馈型神经网络【2 2 1 两种。 ( 1 ) 前馈型网络前馈型神经网络( f e e d f o r w o r dn n ) 是分层结构的，神经元 分层排列，有输入层、隐含层和输出层，每一层的神经元只接受前一层神经元 的输入。因此又称为前向网络，如图3 2 所示。 入屠隐含罄 图3 2 前馈型网络 竺呻 l j ( 卜羔一 】_ l 麓出层 前馈型神经网络结构简单、易于编程、使用方便，而且从系统的观点看， 前馈网络是一静态非线性映射，通过简单非线性处理单元的复合映射，可以获 得复杂的非线性处理能力。但从计算的观点看，缺乏丰富的动力学行为。典型 的前馈网络有感知器网络、b p 网络等。 ( 2 ) 反馈型网络反馈型神经网络( f e e d b a c kn n ) 又称为递归网络或回归网 络，若总的节点数为n ，则每个节点有n 个输入和一个输出。也就是说，所有 节点都是一样的，它们之间都是可以相互连接的，它更注重全局稳定性，如图 3 3 所示。 输入层摩含层 输出层 图3 3 反馈型网络 图3 3 中x j ( = 1 ，2 ，刀) 为信号输入，矿为层与层之间的连接权值矩阵， b ( j = i ，2 ，1 ) 为网络输出。反馈神经网络是一种反馈动力学系统，它需要工作 一段时间才能达到稳定。h o p f i e l d 神经网络2 3 1 是反馈神经网络中最简单且应用 广泛的模型。 3 1 2 神经网络的工作原理 人工神经网络首先要以